Freigeben über

Microsoft Entra Suite-Bereitstellungsszenario – Modernisieren des Remotezugriffs auf lokale Apps mit MFA pro App

Die Microsoft Entra Suite-Bereitstellungsszenarien bieten Ihnen detaillierte Anleitungen zum Kombinieren und Testen dieser Microsoft Entra Suite-Produkte:

In diesen Leitfäden beschreiben wir Szenarios, die zeigen, wie nützlich Microsoft Entra Suite ist und wie die Funktionen zusammenarbeiten.

Szenario: Remotezugriff mit Schnellzugriff modernisieren

In diesem Abschnitt wird beschrieben, wie Sie Produkte der Microsoft Entra Suite für ein Szenario konfigurieren, in dem die fiktive Organisation Contoso ihre vorhandene VPN-Lösung aktualisieren möchte. Die neue skalierbare und cloudbasierte Lösung hilft ihr beim Umstieg auf Secure Access Service Edge (SASE). Um dieses Ziel zu erreichen, stellen sie Microsoft Entra Internet Access, Microsoft Entra Private Access und Microsoft Entra ID Protection bereit.

Microsoft Entra-Privatzugriff ermöglicht Benutzer:innen (intern und remote) sicheren Zugriff auf private Unternehmensressourcen. Microsoft Entra-Privatzugriff basiert auf dem Microsoft Entra-Anwendungsproxy, um den Zugriff auf private Ressourcen unabhängig vom TCP/IP-Port und vom Protokoll zu erweitern.

Remotebenutzer:innen können über Hybrid- und Multicloudumgebungen, private Netzwerke und Rechenzentren von jedem Gerät und Netzwerk aus eine Verbindung mit privaten Apps herstellen, ohne dass eine VPN-Lösung erforderlich ist. Der Dienst bietet adaptiven Zugriff pro App basierend auf Richtlinien für bedingten Zugriff für eine genauere Sicherheit als eine herkömmliche VPN-Lösung.

Die cloudbasierte Identitäts- und Zugriffsverwaltung (IAM) von Microsoft Entra ID Protection schützt Benutzeridentitäten und Anmeldeinformationen vor Kompromittierung.

Sie können diese übergeordneten Schritte für die Contoso-Lösung wie in diesem Szenario dargestellt nachvollziehen.

  1. Registrieren Sie sich für die Microsoft Entra Suite. Aktivieren und konfigurieren Sie Microsoft Entra-Internetzugriff und -Privatzugriff mit den gewünschten Netzwerk- und Sicherheitseinstellungen.
  2. Stellen Sie den Global Secure Access-Client von Microsoft auf Benutzergeräten und Microsoft Entra Private Access-Connectors in privaten Netzwerken bereit. Integrieren Sie Multicloud-basierte virtuelle Netzwerke auf der Basis von Internet-as-a-Service (IaaS), um Zugriff auf Apps und Ressourcen in Contoso-Netzwerken zu ermöglichen.
  3. Richten Sie private Apps als globale Apps für den sicheren Zugriff ein. Weisen Sie geeignete Benutzer:innen und Gruppen zu. Richten Sie Richtlinien für bedingten Zugriff für diese Apps und Benutzer ein. Mit diesem Setup erzielen Sie minimalen Zugriff, indem Sie nur Benutzer:innen und Gruppen den Zugriff erlauben, die diesen auch benötigen.
  4. Aktivieren Sie Microsoft Entra ID Protection , damit Administratoren Risiken untersuchen und beheben können, um Organisationen sicher und sicher zu halten. Risiken können in Tools wie Conditional Access eingebracht werden, um Zugriffsentscheidungen zu treffen, und zur weiteren Untersuchung in ein SIEM-Tool (Security Information & Event Management) zurückgegeben werden.
  5. Verwenden Sie erweiterte Protokolle und Analysen von Microsoft Entra-Internetzugriff, Microsoft Entra-Privatzugriff und Microsoft Entra ID Protection, um den Netzwerk- und Sicherheitsstatus nachzuverfolgen und zu bewerten. Diese Konfiguration hilft Ihrem SOC-Team (Security Operations Center), Bedrohungen umgehend zu erkennen und zu untersuchen, um eine Eskalation zu verhindern.

Die Lösungen der Microsoft Entra Suite bieten gegenüber einem VPN folgende Vorteile:

  • Einfachere und konsolidierte Verwaltung
  • Niedrigere VPN-Kosten
  • Höhere Sicherheit und Sichtbarkeit
  • Reibungsloseres Benutzererlebnis und mehr Effizienz
  • Bereitschaft für SASE

Anforderungen für Remotezugriff mit Schnellzugriff

In diesem Abschnitt werden die Anforderungen für die Lösung in diesem Szenario definiert.

Berechtigungen für den Remotezugriff mit Schnellzugriff

Administrator:innen, die mit Features für den globalen sicheren Zugriff arbeiten, benötigen die Rollen „Administrator für globalen sicheren Zugriff“ und „Anwendungsadministrator“.

Für die Richtlinienkonfiguration für bedingten Zugriff ist die Rolle "Administrator für bedingten Zugriff" oder "Sicherheitsadministrator" erforderlich. Einige Features erfordern möglicherweise weitere Rollen.

Voraussetzungen für den Remotezugriff mit Schnellzugriff

Um dieses Szenario erfolgreich bereitzustellen und zu testen, konfigurieren Sie die folgenden Voraussetzungen:

  1. Microsoft Entra-Mandant mit Microsoft Entra ID P1-Lizenz. Konfigurieren Sie Microsoft Entra ID zum Testen von Microsoft Entra ID Protection. Erwerben Sie Lizenzen, oder erhalten Sie Testlizenzen.
    • Ein Benutzerkonto mit mindestens den Rollen „Administrator für globalen sicheren Zugriff“ und „Anwendungsadministrator“, um Microsoft Security Service Edge zu konfigurieren
    • Mindestens ein Clienttestbenutzerkonto in Ihrem Mandanten
  2. Ein Windows-Clientgerät mit folgender Konfiguration:
    • Windows 10 oder 11, 64-Bit-Version
    • Einbindung oder Hybrideinbindung in Microsoft Entra
    • Internetverbindung und kein Unternehmensnetzwerkzugriff oder VPN
  3. Laden Sie den Client für globalen sicheren Zugriff auf dem Clientgerät herunter, und installieren Sie ihn. Im Artikel "Global Secure Access Client für Windows " werden die Voraussetzungen und die Installation beschrieben.
  4. Um Microsoft Entra-Privatzugriff zu testen, konfigurieren Sie einen Windows-Server als Ressourcenserver:
    • Windows Server 2012 R2 oder höher
    • Eine Datei-Freigabe
  5. Um Microsoft Entra-Privatzugriff zu testen, konfigurieren Sie einen Windows-Server als Connectorserver:
  6. Stellen Sie eine Verbindung zwischen Connectorserver und Anwendungsserver her. Überprüfen Sie den Zugriff auf die Testanwendung auf dem Anwendungsserver (z. B. durch den erfolgreichen Zugriff auf eine Dateifreigabe).

Die folgende Abbildung veranschaulicht die Mindestarchitekturanforderungen für das Bereitstellen und Testen von Microsoft Entra-Privatzugriff:

Das Diagramm zeigt Anforderungen, die der Microsoft Entra ID-Mandant mit P1-Lizenz enthält.

Konfigurieren des globalen sicheren Zugriffs für den Remotezugriff mit Schnellzugriff

In diesem Abschnitt aktivieren Sie den globalen sicheren Zugriff über das Microsoft Entra Admin Center. Anschließend richten Sie die für dieses Szenario erforderlichen Anfangskonfigurationen ein.

  1. Melden Sie sich beim Microsoft Entra Admin Center als globaler Administrator an.
  2. Navigieren Sie zu Global Secure Access>Erste Schritte>Aktivieren Sie Global Secure Access in Ihrem Mandanten. Wählen Sie "Aktivieren" aus, um SSE-Features zu aktivieren.
  3. Navigieren Sie zu Global Secure Access>Connect>Traffic Forwarding. Aktivieren Sie das Profil für den privaten Zugriff. Mit der Datenverkehrsweiterleitung können Sie den Typ von Netzwerkdatenverkehr konfigurieren, der durch die Dienste der Security Service Edge-Lösung von Microsoft getunnelt werden soll. Richten Sie Datenverkehrsweiterleitungsprofile ein, um Datenverkehrstypen zu verwalten.

    • Das Microsoft 365-Zugriffsprofil ist für Microsoft Entra Internet Access für Microsoft 365 vorgesehen.

    • Das Profil für den privaten Zugriff ist für Microsoft Entra Private Access vorgesehen.

    • Das Internetzugriffsprofil ist für Microsoft Entra Internet Access vorgesehen. Die Security Service Edge-Lösung von Microsoft erfasst nur den Datenverkehr auf Clientgeräten, auf denen der Client für „globaler sicherer Zugriff“ installiert ist.

      Screenshot der Datenverkehrsweiterleitung mit aktivierter Profilsteuerung für den privaten Zugriff.

Installieren des Clients für globalen sicheren Zugriff für den Remotezugriff mit Schnellzugriff

Microsoft Entra-Internetzugriff für Microsoft 365 und Microsoft Entra-Privatzugriff verwenden den Client für globalen sicheren Zugriff auf Windows-Geräten. Dieser Client erfasst den Netzwerkdatenverkehr und leitet ihn an die Security Service Edge-Lösung von Microsoft weiter. Führen Sie die folgenden Installations- und Konfigurationsschritte aus:

  1. Stellen Sie sicher, dass das Windows-Gerät bei Microsoft Entra registriert oder hybrid verbunden ist.

  2. Melden Sie sich mit einer Microsoft Entra-Benutzerrolle mit lokalen Administratorrechten auf dem Windows-Gerät an.

  3. Melden Sie sich im Microsoft Entra Verwaltungszentrum als mindestens ein globaler Secure Access Administrator an.

  4. Navigieren Sie zu Global Secure Access>Connect>Client-Download. Wählen Sie "Client herunterladen" aus. Schließen Sie die Installation ab.

    Screenshot des Downloadsclients, der das Windows Download Client-Steuerelement zeigt.

  5. In der Windows-Taskleiste wird der Global Secure Access Client zuerst als getrennt angezeigt. Wenn Sie nach einigen Sekunden zur Eingabe von Anmeldeinformationen aufgefordert werden, geben Sie die Anmeldeinformationen des Testbenutzerkontos ein.

  6. Zeigen Sie in der Windows-Taskleiste auf das Symbol "Global Secure Access Client" und überprüfen Sie den Status "Verbunden".

Einrichten des Connectorservers für den Remotezugriff mit Schnellzugriff

Der Connectorserver kommuniziert mit der Microsoft Security Service Edge-Lösung als Gateway zum Unternehmensnetzwerk. Er verwendet ausgehende Verbindungen über 80 und 443 und erfordert keine eingehenden Ports. Erfahren Sie , wie Sie Connectors für Microsoft Entra Private Access konfigurieren. Führen Sie die folgenden Konfigurationsschritte aus:

  1. Melden Sie sich auf dem Connector-Server beim Microsoft Entra Admin Center als Administrator für den globalen sicheren Zugriff an.

  2. Navigieren Sie zu Global Secure Access>Connect>Connectors. Wählen Sie "Private Netzwerkverbindungen aktivieren" aus.

    Screenshot von Private Netzwerk-Connectoren mit einem roten Feld, das das Steuerelement

  3. Wählen Sie den Download-Connector-Dienst aus.

  4. Führen Sie den Installations-Assistenten aus, um den Connectordienst auf dem Connectorserver zu installieren. Wenn Sie dazu aufgefordert werden, geben Sie die Mandantenanmeldeinformationen ein, um die Installation abzuschließen.

  5. Der Connectorserver wird installiert, wenn er in Connectors angezeigt wird.

In diesem Szenario verwenden Sie die Standardconnectorgruppe mit einem Connectorserver. In einer Produktionsumgebung erstellen Sie Connectorgruppen mit mehreren Connectorservern. Detaillierte Anleitungen zum Veröffentlichen von Apps in separaten Netzwerken mithilfe von Connectorgruppen.

Erstellen einer Sicherheitsgruppe für den Remotezugriff mit Schnellzugriff

In diesem Szenario verwenden wir eine Sicherheitsgruppe, um der Anwendung für den privaten Zugriff Berechtigungen zuzuweisen und um die Richtlinien für bedingten Zugriff anzuwenden.

  1. Erstellen Sie im Microsoft Entra Admin Center eine neue reine Cloudsicherheitsgruppe.
  2. Fügen Sie ein Testbenutzerkonto als Mitglied hinzu.

Festlegen einer privaten Ressource für den Remotezugriff mit Schnellzugriff

In diesem Szenario verwenden Sie Dateifreigabedienste als Beispielressource. Sie können jede private Anwendung oder Ressource verwenden. Sie müssen wissen, welche Ports und Protokolle die Anwendung verwendet, um sie mit Microsoft Entra-Privatzugriff zu veröffentlichen.

Identifizieren Sie einen Server mit einer Dateifreigabe für die Veröffentlichung, und notieren Sie seine IP-Adresse. Dateifreigabedienste verwenden Port 445/TCP.

Veröffentlichen der Anwendung für den Remotezugriff mit Schnellzugriff

Microsoft Entra-Privatzugriff unterstützt TCP-Anwendungen (Transmission Control Protocol) über jeden Port. Führen Sie die folgenden Schritte aus, um eine Verbindung mit dem Dateiserver (TCP-Port 445) über das Internet herzustellen:

  1. Stellen Sie auf dem Connectorserver sicher, dass Sie auf eine Dateifreigabe auf dem Dateiserver zugreifen können.

  2. Melden Sie sich im Microsoft Entra Verwaltungszentrum als mindestens ein globaler Secure Access Administrator an.

  3. Navigieren Sie zu Global Secure Access>Anwendungen>Enterprise-Anwendungen>+ Neue Anwendung.

    Screenshot der Unternehmensanwendungen mit dem Steuerelement

  4. Geben Sie einen Namen ein (z. B. FileServer1). Wählen Sie die Standardconnectorgruppe aus. Wählen Sie +Anwendungssegment hinzufügen aus. Geben Sie die IP-Adresse des Anwendungsservers und Port 441 ein.

    Screenshot der Anwendung

  5. Wählen Sie Anwenden>Speichern. Überprüfen Sie, ob sich die Anwendung in Enterprise-Anwendungen befindet.

  6. Wechseln Sie zu Entra ID>Enterprise-Apps. Wählen Sie die neue Anwendung aus.

  7. Wählen Sie "Benutzer und Gruppen" aus. Fügen Sie die Sicherheitsgruppe hinzu, die Sie zuvor mit Testbenutzer:innen erstellt haben, die über das Internet auf diese Dateifreigabe zugreifen.

Schützen der veröffentlichten Anwendung für den Remotezugriff mit Schnellzugriff

In diesem Abschnitt erstellen wir eine Richtlinie für den bedingten Zugriff, die den Zugriff auf die neue Anwendung blockiert, wenn das Risiko eines Benutzers erhöht wird.

  1. Melden Sie sich beim Microsoft Entra Admin Center als Administrator für Bedingten Zugriff an.
  2. Navigieren Sie zu Entra ID-Richtlinien> fürbedingten Zugriff>.
  3. Wählen Sie "Neue Richtlinie" aus.
  4. Geben Sie einen Namen ein, und wählen Sie Benutzer:innen aus. Wählen Sie die Option „Benutzer und Gruppen“ aus. Wählen Sie die Sicherheitsgruppe aus, die Sie zuvor erstellt haben.
  5. Wählen Sie Zielressourcen>Apps und Anwendung aus, die Sie zuvor erstellt haben (z. B. FileServer1).
  6. Wählen Sie Bedingungen>Benutzerrisiko>Konfigurieren>Ja. Wählen Sie die Risikostufen "Hoch " und "Mittel " aus. Wählen Sie "Fertig" aus.
  7. Zugriff gewähren>Blockzugriff> Sie aus.
  8. Aktivieren Sie die Richtlinie.
  9. Überprüfen Sie Ihre Einstellungen.
  10. Wählen Sie "Erstellen" aus.

Überprüfen des Zugriffs für den Remotezugriff mit Schnellzugriff

In diesem Abschnitt überprüfen Sie, ob die Benutzer:innen auf den Dateiserver zugreifen können, wenn kein Risiko besteht. Vergewissern Sie sich, dass der Zugriff blockiert wird, wenn ein Risiko erkannt wird.

  1. Melden Sie sich auf dem Gerät an, auf dem Sie zuvor den Client für globalen sicheren Zugriff installiert haben.

  2. Versuchen Sie, auf den Dateiserver zuzugreifen, indem Sie \\\IP_address ausführen, und überprüfen Sie, ob Sie die Dateifreigabe durchsuchen können.

    Screenshot des Windows-Explorers, der die Verbindung mit der Dateifreigabe anzeigt.

  3. Simulieren Sie bei Bedarf das Benutzerrisiko, indem Sie anweisungen zum Simulieren von Risikoerkennungen in Microsoft Entra ID Protection befolgen. Möglicherweise müssen Sie mehrmals versuchen, das Benutzerrisiko auf „Mittel“ oder „Hoch“ zu erhöhen.

  4. Versuchen Sie, auf den Dateiserver zuzugreifen, um sich zu vergewissern, dass der Zugriff blockiert wird. Möglicherweise müssen Sie bis zu einer Stunde auf das Erzwingen der Blockierung warten.

  5. Überprüfen Sie, ob die Richtlinie für bedingten Zugriff (die Sie zuvor mithilfe von Anmeldeprotokollen erstellt haben) den Zugriff blockiert. Öffnen Sie die nicht-interaktiven Anmeldeprotokolle von der Anwendung ZTNA-Netzwerkzugriffsclient – Private. Zeigen Sie Protokolle der Private-Access-Anwendung an, die Sie zuvor als Ressourcenname erstellt haben.

Szenario: Modernisieren des Remotezugriffs pro App

In diesem Abschnitt wird beschrieben, wie Sie Produkte der Microsoft Entra Suite für ein Szenario konfigurieren, in dem die fiktive Organisation Contoso ihre Cybersicherheitspraxis umstellt. Sie wenden Zero-Trust-Prinzipien an, die explizit verifizieren, das Prinzip der geringsten Privilegien nutzen und von Sicherheitsverletzungen bei sämtlichen Anwendungen und Ressourcen ausgehen. Im Ermittlungsprozess identifizierten Sie mehrere Geschäftsanwendungen, die keine moderne Authentifizierung verwenden und sich auf die Konnektivität mit dem Unternehmensnetzwerk (entweder von ihren Zweigstellen oder remote per VPN) verlassen.

Sie können diese übergeordneten Schritte für die Contoso-Lösung wie in diesem Szenario dargestellt nachvollziehen.

  1. Um explizit zu überprüfen, konfigurieren Sie den privaten Zugriff von Microsoft Entra ID , um auf Anwendungsbasis auf das Unternehmensnetzwerk zuzugreifen. Verwenden Sie den einheitlichen Satz von Zugriffssteuerungen, die von bedingtem Zugriff und Microsoft Entra ID Protection bereitgestellt werden, um zugriff auf das Unternehmensnetzwerk basierend auf Identität, Endpunkt und Risikosignal zu gewähren, das sie mit Microsoft 365 und anderen Cloudanwendungen verwenden.
  2. Um die geringsten Berechtigungen zu erzwingen, verwenden Sie Microsoft Entra ID Governance , um Zugriffspakete zu erstellen, die den Netzwerkzugriff pro App zusammen mit den Anwendungen enthalten, die dies erfordern. Dieser Ansatz gewährt Mitarbeitenden entsprechend ihrer Aufgaben Zugriff auf das Unternehmensnetzwerk während ihres Lebenszyklus (Einstellung/Versetzung/Abgang).

Im Rahmen dieser Transformation erzielen SecOps-Teams umfangreichere und einheitlichere Sicherheitsanalysen, um Sicherheitsbedrohungen besser erkennen zu können. Folgende Vorteile bietet die gemeinsame Verwendung der Lösungen:

  • Höhere Sicherheit und Sichtbarkeit Erzwingen Sie präzise und adaptive Zugriffsrichtlinien basierend auf Identität und Kontext von Benutzer:innen und Geräten sowie der Vertraulichkeit und dem Standort von Anwendungen und Daten. Verwenden Sie angereicherte Protokolle und Analysen, um Erkenntnisse zum Netzwerk- und Sicherheitsstatus zu gewinnen und Bedrohungen schneller zu erkennen und darauf zu reagieren.
  • Zugriff mit geringsten Berechtigungen auf lokale Anwendungen. Reduzieren Sie den Zugriff auf das Unternehmensnetzwerk ausschließlich auf Dinge, die für die Anwendungen unbedingt erforderlich sind. Beziehen Sie beim Zuweisen und Steuern des Zugriffs die Aufgaben und der Änderungen während des Lebenszyklus (Einstellung/Versetzung/Abgang) ein. Mit diesem Ansatz reduzieren Sie das Risiko von Angriffsvektoren mit seitlicher Bewegung.
  • Produktivität steigern Aktivieren Sie gleichzeitig den Zugriff auf Anwendungen und Netzwerke, wenn Benutzer:innen der Organisation beitreten, damit sie ab dem ersten Tag loslegen können. Benutzer:innen verfügen über den richtigen Zugriff auf die erforderlichen Informationen, Gruppenmitgliedschaften und Anwendungen. Selbstbedienungsfunktionen für Umzugsverantwortliche innerhalb der Organisation stellen sicher, dass der Zugriff entzogen wird, wenn Benutzer die Organisation verlassen.

Anforderungen für den Remotezugriff pro App

In diesem Abschnitt werden die Anforderungen für die Lösung in diesem Szenario definiert.

Berechtigungen für den Remotezugriff pro App

Administrator:innen, die mit Features für den globalen sicheren Zugriff arbeiten, benötigen die Rollen „Administrator für globalen sicheren Zugriff“ und „Anwendungsadministrator“.

Für die Identity Governance-Konfiguration ist mindestens die Rolle „Identity Governance-Administrator“ erforderlich.

Lizenzen für den Remotezugriff pro App

Um alle Schritte in diesem Szenario ausführen zu können, benötigen Sie Lizenzen für den globalen sicheren Zugriff und Microsoft Entra ID Governance. Sie können Lizenzen erwerben oder Testlizenzen erwerben. Weitere Informationen zur Lizenzierung für den globalen sicheren Zugriff finden Sie im Abschnitt "Was ist globaler sicherer Zugriff?"

Benutzer:innen für den Remotezugriff pro App

Um die Schritte in diesem Szenario zu konfigurieren und zu testen, benötigen Sie die folgenden Benutzerkonten:

  • Microsoft Entra-Administrator mit den unter „Berechtigungen“ definierten Rollen
  • Lokaler Active Directory-Administrator zum Konfigurieren der Cloudsynchronisierung und des Zugriffs auf die Beispielressource (Dateiserver)
  • Ein synchronisiertes normales Benutzerkonto zum Durchführen von Tests auf einem Clientgerät

Voraussetzungen für den privaten Zugriff

Um dieses Szenario erfolgreich bereitzustellen und zu testen, konfigurieren Sie die folgenden Voraussetzungen:

  1. Ein Windows-Clientgerät mit folgender Konfiguration:
    • Windows 10 oder 11, 64-Bit-Version
    • Einbindung oder Hybrideinbindung in Microsoft Entra
    • Internetverbindung und kein Unternehmensnetzwerkzugriff oder VPN
  2. Laden Sie den Global Secure Access-Client auf dem Clientgerät herunter, und installieren Sie diesen. Im Artikel "Global Secure Access Client für Windows " werden die Voraussetzungen und die Installation beschrieben.
  3. Um Microsoft Entra-Privatzugriff zu testen, konfigurieren Sie einen Windows-Server als Ressourcenserver:
    • Windows Server 2012 R2 oder höher
    • Eine Datei-Freigabe
  4. Um Microsoft Entra-Privatzugriff zu testen, konfigurieren Sie einen Windows-Server als Connectorserver:
  5. Stellen Sie die Verbindung zwischen dem Connectorserver und dem Anwendungsserver her. Vergewissern Sie sich, dass Sie auf die Testanwendung auf dem Anwendungsserver zugreifen können (z. B. durch den erfolgreichen Zugriff auf eine Dateifreigabe).

Die folgende Abbildung veranschaulicht die Mindestarchitekturanforderungen für das Bereitstellen und Testen von Microsoft Entra-Privatzugriff:

Das Diagramm zeigt Anforderungen, die der Microsoft Entra ID-Mandant mit P1-Lizenz enthält.

Bestimmen der privaten Ressource für den Remotezugriff pro App

In diesem Szenario verwenden Sie Dateifreigabedienste als Beispielressource. Sie können jede private Anwendung oder Ressource verwenden. Sie müssen wissen, welche Ports und Protokolle die Anwendung verwendet, um sie mit Microsoft Entra-Privatzugriff zu veröffentlichen.

Bestimmen Sie einen Server mit einer Dateifreigabe, die Sie veröffentlichen möchten, und notieren Sie seine IP-Adresse. Dateifreigabedienste verwenden Port 445/TCP.

Konfigurieren des globalen sicheren Zugriffs für den Remotezugriff pro App

Aktivieren Sie den globalen sicheren Zugriff über das Microsoft Entra Admin Center, und nehmen Sie erforderliche Anfangskonfigurationen für dieses Szenario vor.

  1. Melden Sie sich beim Microsoft Entra Admin Center als globaler Administrator an.
  2. Navigieren Sie zu Global Secure Access>Erste Schritte>Aktivieren Sie Global Secure Access in Ihrem Mandanten. Wählen Sie "Aktivieren" aus, um SSE-Features in Ihrem Mandanten zu aktivieren.
  3. Wechseln Sie zu Global Secure Access>Connect>Traffic Forwarding. Aktivieren Sie das Profil für den privaten Zugriff. Mit der Datenverkehrsweiterleitung können Sie den Typ von Netzwerkdatenverkehr konfigurieren, der durch die Dienste der Security Service Edge-Lösung von Microsoft getunnelt werden soll. Richten Sie Datenverkehrsweiterleitungsprofile ein, um Datenverkehrstypen zu verwalten.

    • Das Microsoft 365-Zugriffsprofil ist für Microsoft Entra Internet Access für Microsoft 365 vorgesehen.

    • Das Profil für den privaten Zugriff ist für Microsoft Entra Private Access vorgesehen.

    • Das Internetzugriffsprofil ist für Microsoft Entra Internet Access vorgesehen. Die Security Service Edge-Lösung von Microsoft erfasst nur den Datenverkehr auf Clientgeräten, auf denen der Client für „globaler sicherer Zugriff“ installiert ist.

      Screenshot der Datenverkehrsweiterleitung mit aktivierter Profilsteuerung für den privaten Zugriff.

Client für sicheren globalen Zugriff für den Remotezugriff pro App installieren

Microsoft Entra-Internetzugriff für Microsoft 365 und Microsoft Entra-Privatzugriff verwenden den Client für globalen sicheren Zugriff auf Windows-Geräten. Dieser Client erfasst den Netzwerkdatenverkehr und leitet ihn an die Security Service Edge-Lösung von Microsoft weiter. Führen Sie die folgenden Installations- und Konfigurationsschritte aus:

  1. Stellen Sie sicher, dass das Windows-Gerät entweder mit Microsoft Entra ID verbunden oder hybrid verbunden ist.

  2. Melden Sie sich mit einer Microsoft Entra ID-Benutzerrolle mit lokalen Administratorrechten auf dem Windows-Gerät an.

  3. Melden Sie sich im Microsoft Entra Verwaltungszentrum als mindestens ein globaler Secure Access Administrator an.

  4. Navigieren Sie zu Global Secure Access>Connect>Client-Download. Wählen Sie "Client herunterladen" aus. Schließen Sie die Installation ab.

    Screenshot des Downloadsclients, der das Windows Download Client-Steuerelement zeigt.

  5. In der Windows-Taskleiste wird der Global Secure Access Client zuerst als getrennt angezeigt. Wenn Sie nach einigen Sekunden zur Eingabe von Anmeldeinformationen aufgefordert werden, geben Sie die Anmeldeinformationen des Testbenutzerkontos ein.

  6. Zeigen Sie in der Windows-Taskleiste auf das Symbol "Global Secure Access Client" und überprüfen Sie den Status "Verbunden".

Einrichten des Connectorservers für den Remotezugriff pro App

Der Connectorserver kommuniziert mit der Microsoft Security Service Edge-Lösung als Gateway zum Unternehmensnetzwerk. Er verwendet ausgehende Verbindungen über 80 und 443 und erfordert keine eingehenden Ports. Erfahren Sie , wie Sie Connectors für Microsoft Entra Private Access konfigurieren. Führen Sie die folgenden Konfigurationsschritte aus:

  1. Melden Sie sich auf dem Connector-Server beim Microsoft Entra Admin Center als Administrator für den globalen sicheren Zugriff an.

  2. Navigieren Sie zu Global Secure Access>Connect>Connectors. Wählen Sie "Private Netzwerkverbindungen aktivieren" aus.

    Screenshot von Private Netzwerk-Connectoren mit einem roten Feld, das das Steuerelement

  3. Wählen Sie den Download-Connector-Dienst aus.

  4. Führen Sie den Installations-Assistenten aus, um den Connectordienst auf dem Connectorserver zu installieren. Wenn Sie dazu aufgefordert werden, geben Sie die Mandantenanmeldeinformationen ein, um die Installation abzuschließen.

  5. Der Connectorserver wird installiert, wenn er in Connectors angezeigt wird.

In diesem Szenario verwenden Sie die Standardconnectorgruppe mit einem Connectorserver. In einer Produktionsumgebung erstellen Sie Connectorgruppen mit mehreren Connectorservern. Detaillierte Anleitungen zum Veröffentlichen von Apps in separaten Netzwerken mithilfe von Connectorgruppen.

Erstellen einer Sicherheitsgruppe für Anwendungen für den privaten Zugriff

In diesem Szenario verwenden wir eine Sicherheitsgruppe, um der Anwendung für den privaten Zugriff Berechtigungen zuzuweisen und um die Richtlinien für bedingten Zugriff anzuwenden.

  1. Erstellen Sie im Microsoft Entra Admin Center eine neue reine Cloudsicherheitsgruppe.
  2. Fügen Sie ein Testbenutzerkonto als Mitglied hinzu.

Veröffentlichen einer Anwendung für den Remotezugriff pro App

Microsoft Entra-Privatzugriff unterstützt TCP-Anwendungen (Transmission Control Protocol) über jeden Port. Führen Sie die folgenden Schritte aus, um eine Verbindung mit dem Dateiserver (TCP-Port 445) über das Internet herzustellen:

  1. Stellen Sie auf dem Connectorserver sicher, dass Sie auf eine Dateifreigabe auf dem Dateiserver zugreifen können.

  2. Melden Sie sich beim Microsoft Entra-Verwaltungszentrum als mindestens Globaler Secure Access-Administrator an.

  3. Navigieren Sie zu Global Secure Access>Anwendungen>Enterprise-Anwendungen>+ Neue Anwendung.

    Screenshot der Unternehmensanwendungen mit dem Steuerelement

  4. Geben Sie einen Namen ein (z. B. FileServer1). Wählen Sie die Standardconnectorgruppe aus. Wählen Sie +Anwendungssegment hinzufügen aus. Geben Sie die IP-Adresse des Anwendungsservers und Port 441 ein.

    Screenshot der Anwendung

  5. Wählen Sie Anwenden>Speichern. Überprüfen Sie, ob sich die Anwendung in Enterprise-Anwendungen befindet.

  6. Wechseln Sie zu Entra ID>Enterprise-Apps. Wählen Sie die neue Anwendung aus.

  7. Wählen Sie "Benutzer und Gruppen" aus. Fügen Sie die Sicherheitsgruppe hinzu, die Sie zuvor mit Testbenutzer:innen erstellt haben, die über das Internet auf diese Dateifreigabe zugreifen.

Konfiguration der Zugriffsverwaltung für den Remotezugriff für jede App

In diesem Abschnitt werden die Konfigurationsschritte für diese Lösung beschrieben.

Erstellen eines Berechtigungsverwaltungskatalogs

Führen Sie die folgenden Schritte aus, um einen Berechtigungsverwaltungskatalog zu erstellen:

  1. Melden Sie sich als mindestens ein Identitäts-Governance-Administrator beim Microsoft Entra Admin Center an.

  2. Navigieren Sie zu ID-Governance-Katalogen>.

  3. Wählen Sie +Neuer Katalog aus.

    Screenshot der Überprüfung des neuen Zugriffs, Unternehmensanwendungen, Alle Anwendungen, Identity Governance, Neuer Katalog.

  4. Geben Sie einen eindeutigen Namen sowie eine Beschreibung für den Katalog ein. Anfordernden werden diese Informationen in den Details des Zugriffspakets angezeigt.

  5. Um Zugriffspakete in diesem Katalog für interne Benutzer zu erstellen, wählen Sie Für externe Benutzer deaktiviert>Nein aus.

    Screenshot des neuen Katalogs mit der Auswahl

  6. Öffnen Sie im Katalog den Katalog, dem Sie Ressourcen hinzufügen möchten. Wählen Sie "Ressourcen>" und "Ressourcen hinzufügen" aus.

    Screenshot des App-Katalogs, Liste

  7. Wählen Sie "Typ"und dann "Gruppen" und "Teams", "Anwendungen" oder "SharePoint-Websites" aus.

  8. Wählen Sie die Anwendung (z. B. FileServer1) und die Sicherheitsgruppe (z. B. Finanzteam-Dateifreigabe) aus, und fügen Sie sie hinzu, die Sie zuvor erstellt haben. Wählen Sie "Hinzufügen" aus.

Bereitstellen von Gruppen in Active Directory

Wir empfehlen die Gruppenbereitstellung für Active Directory mit Microsoft Entra Cloud Sync. Wenn Sie Connect Sync verwenden, wechseln Sie Ihre Konfiguration zu Cloud Sync. Die Artikel zu den Voraussetzungen für Microsoft Entra Cloud Sync in Microsoft Entra ID und zur Installation des Microsoft Entra-Bereitstellungsagenten enthalten detaillierte Anweisungen. Gruppenrückschreiben v2 in der Microsoft Entra Connect-Synchronisierung ist seit dem 30. Juni 2024 nicht mehr verfügbar.

Führen Sie die folgenden Schritte aus, um die Microsoft Entra-Cloudsynchronisierung zu konfigurieren:

  1. Melden Sie sich mindestens als Hybrididentitätsadministrator beim Microsoft Entra Admin Center an.

  2. Navigieren Sie zur Entra ID>Entra Connect>Cloud-Synchronisierung.

  3. Wählen Sie "Neue Konfiguration" aus.

  4. Wählen Sie Microsoft Entra-ID für die AD-Synchronisierung aus.

    Screenshot der neuen Konfiguration, Microsoft Entra ID to AD Sync.

  5. Wählen Sie unter "Konfigurationen" Ihre Domäne aus. Optional: Wählen Sie "Kennworthashsynchronisierung aktivieren" aus.

  6. Wählen Sie "Erstellen" aus.

    Screenshot von Microsoft Entra Connect, Cloud Sync, Konfigurationen, Neue Cloud-Synchronisierungskonfiguration.

  7. Wählen Sie für die Konfiguration Erste Schritte die Option Bereichsfilter hinzufügen (neben dem Symbol Bereichsfilter hinzufügen) oder Bereichsfilter (unter Verwalten) aus.

  8. Wählen Sie "Ausgewählte Sicherheitsgruppen " in der Option " Gruppe(n) auswählen " aus. Wählen Sie "Objekte bearbeiten" aus. Fügen Sie die Sicherheitsgruppe "Microsoft Entra ID" hinzu, die Sie zuvor erstellt haben (z. B. "Finanzteamdateifreigabe"). Wir verwenden diese Gruppe, um in späteren Schritten den Zugriff auf lokale Anwendungen mithilfe von Lebenszyklus-Workflows und Zugriffspaketen zu verwalten.

    Screenshot des Bereichs

Zuweisen des Zugriffs auf den lokalen Dateiserver

  1. Erstellen Sie auf dem ausgewählten Dateiserver eine Dateifreigabe.
  2. Weisen Sie der Sicherheitsgruppe "Microsoft Entra ID" Leseberechtigungen (z. B. "Finanzteamdateifreigabe") zu, die Sie in Active Directory bereitgestellt haben.

Erstellen eines Zugriffspakets für den Remotezugriff pro App

Führen Sie die folgenden Schritte aus, um in der Berechtigungsverwaltung ein Zugriffspaket zu erstellen:

  1. Melden Sie sich als mindestens ein Identitäts-Governance-Administrator beim Microsoft Entra Admin Center an.

  2. Navigieren Sie zu ID Governance>Berechtigungsverwaltung>Zugriffspaket.

  3. Wählen Sie "Neues Zugriffspaket" aus.

  4. Geben Sie für "Grundlagen" dem Zugriffspaket einen Namen (z. B. Das Access-Paket für Finanz-Apps). Geben Sie den zuvor erstellten Katalog an.

  5. Wählen Sie für Ressourcenrollen die Ressourcen aus, die Sie zuvor hinzugefügt haben (z. B. Dateiserver1-App und Sicherheitsgruppe "Teamdateifreigabe im Finanzteam ").

  6. Wählen Sie unter Rolle die Option Mitglied für Finanzteam-Dateifreigabe und Benutzer für die FileServer1-App aus.

    Screenshot der Ressourcenliste. Ein rotes Feld hebt die Spalte

  7. Wählen Sie für Anforderungendie Option "Für Benutzer in Ihrem Verzeichnis" aus. Aktivieren Sie alternativ das Zugriffspaket für Gastbenutzer (für ein separates Szenario zu besprechen).

  8. Wenn Sie bestimmte Benutzer und Gruppen ausgewählt haben, wählen Sie "Benutzer und Gruppen hinzufügen" aus.

  9. Wählen Sie keinen Benutzer in "Benutzer und Gruppen auswählen" aus. Wir testen später einen Benutzer oder eine Benutzerin, der oder die Zugriff anfordert.

  10. Wahlfrei: Geben Sie in der Genehmigung an, ob eine Genehmigung erforderlich ist, wenn Benutzer dieses Zugriffspaket anfordern.

  11. Wahlfrei: Wählen Sie unter "Anfordererinformationen" die Option "Fragen" aus. Geben Sie eine Frage ein, die Anforderern gestellt werden soll. Diese Frage wird als Anzeigestring bezeichnet. Um Lokalisierungsoptionen hinzuzufügen, wählen Sie "Lokalisierung hinzufügen" aus.

  12. Geben Sie für den Lebenszyklus an, wann die Zuweisung eines Benutzers zum Zugriffspaket abläuft. Sie können auch angeben, ob Benutzer ihre Zuweisungen verlängern können. Legen Sie für Ablauf den Ablauf von Access-Paketzuweisungen auf Am Datum, Anzahl der Tage, Anzahl der Stunden oder Nie fest.

  13. Wählen Sie "Erstellen" aus.

    Screenshot des neuen Zugriffspakets

Erstellen von Lebenszyklus-Workflows

In diesem Abschnitt wird beschrieben, wie Sie Workflows für neu eingestellte oder gekündigte Mitarbeitende erstellen und Workflows bei Bedarf ausführen.

Erstellen eines Workflows für Neueinstellungen

Gehen Sie zum Erstellen eines Workflows für Neueinstellungen wie folgt vor.

  1. Melden Sie sich im Microsoft Entra Admin-Center als mindestens Administrator für Lebenszyklusworkflows an.

  2. Navigieren Sie zu ID Governance>Lifecycle workflows>Workflow erstellen.

  3. Wählen Sie "Neuen Mitarbeiter einarbeiten" unter Workflow auswählen.

    Bildschirmfoto der Identitätsgovernance, Lebenszyklusworkflows, Erstellen eines Workflows, Auswählen eines Workflows.

  4. Geben Sie für Basics „Onboard New hire employee – Finance“ als Workflow-Anzeigenamen und Beschreibung ein. Wählen Sie "Weiter" aus.

  5. Geben Sie für Bereich>Regel Werte für Eigenschaft, Operator und Wert ein. Ändern Sie den Ausdruck des Bereichs auf nur Benutzer, bei denen die Eigenschaftsabteilung> über einenWert der Finanzen verfügt. Stellen Sie sicher, dass der Testbenutzer die Eigenschaft mit dem Finanzstring auffüllt, damit es im Rahmen des Workflows liegt.

    Screenshot der Regelansicht mit einem roten Feld, das die Wertkontrolle hervorhebt.

  6. Wählen Sie unter "Aufgaben überprüfen" die Option " Aufgabe hinzufügen " aus, um der Vorlage eine Aufgabe hinzuzufügen. Für dieses Szenario fügen wir die Zuweisung des Anforderungspakets für den Benutzerzugriff hinzu.

  7. Wählen Sie für "Grundlagen" die Option "Benutzerzugriffspaketzuweisung anfordern" aus. Weisen Sie dieser Aufgabe einen Namen zu (z. B. "Finanzzugriffspaket zuweisen"). Wählen Sie eine Richtlinie aus.

  8. Wählen Sie unter "Konfigurieren" das zuvor erstellte Zugriffspaket aus.

  9. Wahlfrei: Fügen Sie weitere Verknüpfungsaufgaben wie folgt hinzu. Stellen Sie für einige dieser Aufgaben sicher, dass wichtige Attribute wie Manager und E-Mail ordnungsgemäß Benutzern zugeordnet werden, wie in der Automatisierung von Onboarding-Aufgaben von Mitarbeitern vor dem ersten Arbeitstag mithilfe von Lifecycle-Workflows-APIs beschrieben.

    • Benutzerkonto aktivieren
    • Benutzer zu Teams oder Gruppen hinzufügen
    • Willkommens-E-Mail senden
    • TAP generieren und E-Mail senden

  10. Wählen Sie "Zeitplan aktivieren" aus.

    Screenshot der Überprüfungserstellung für das neue Element in der Kategorie

  11. Wählen Sie "Überprüfen" und "Erstellen" aus.

Erstellen von Abgangsworkflows

Um einen Austritts-Workflow zu erstellen, gehen Sie wie folgt vor:

  1. Melden Sie sich im Microsoft Entra Admin-Center als mindestens Administrator für Lebenszyklusworkflows an.

  2. Navigieren Sie zu ID Governance>Lifecycle workflows>Workflow erstellen.

  3. Im Bereich Workflow auswählen wählen Sie Mitarbeiter offboarden aus.

    Screenshot der Option

  4. Geben Sie unter GrundlagenOffboarding eines Mitarbeiters – Finanzen als Anzeigename und Beschreibung für den Workflow ein. Wählen Sie "Weiter" aus.

  5. Geben Sie auf Bereich konfigurieren>Regel Werte für Eigenschaft, Operator und Wert ein. Ändern Sie den Ausdruck des Bereichs auf nur Benutzer, bei denen die Eigenschaftsabteilung> über einenWert der Finanzen verfügt. Stellen Sie sicher, dass der Testbenutzer die Eigenschaft mit dem Finanzstring auffüllt, damit es im Rahmen des Workflows liegt.

    Screenshot der Regelansicht mit einem roten Feld, das die Wertkontrolle hervorhebt.

  6. Wählen Sie unter "Aufgaben überprüfen" die Option " Aufgabe hinzufügen " aus, um der Vorlage eine Aufgabe hinzuzufügen. Für dieses Szenario fügen wir die Zuweisung des Anforderungspakets für den Benutzerzugriff hinzu.

  7. Wahlfrei: Fügen Sie weitere Leaveraufgaben hinzu, z. B.:

    • Benutzerkonto deaktivieren
    • Entfernen eines Benutzers aus allen Gruppen
    • Entfernen eines Benutzers aus allen Teams

  8. Schalten Sie den Zeitplan ein.

    Screenshot der Erstellung einer Überprüfung für das neue Element in der Kategorie

  9. Wählen Sie "Überprüfen" und "Erstellen" aus.

Hinweis

Lebenszyklus-Workflows werden automatisch basierend auf definierten Triggern ausgeführt, die zeitbasierte Attribute und einen Offsetwert kombinieren. Wenn das Attribut beispielsweise employeeHireDate ist und offsetInDays den Wert „-1“ hat, sollte der Workflow einen Tag vor dem Einstellungsdatum von Mitarbeitenden ausgelöst werden. Der Wert kann zwischen –180 und 180 Tagen liegen. Die Werte employeeHireDate und employeeLeaveDateTime für Benutzer:innen müssen in Microsoft Entra ID festgelegt werden. Die Synchronisierung von Attributen für Lifecycle-Workflows bietet weitere Informationen zu Attributen und Prozessen.

Ausführen des Workflows für Neueinstellungen bei Bedarf

Um dieses Szenario zu testen, ohne auf den automatisierten Zeitplan zu warten, führen Sie Lebenszyklus-Workflows bedarfsgesteuert aus.

  1. Initiieren Sie den zuvor erstellten Workflow für Neueinstellungen.

  2. Melden Sie sich im Microsoft Entra Admin-Center als mindestens Administrator für Lebenszyklusworkflows an.

  3. Navigieren Sie zu ID Governance>Lebenszyklus-Workflows>Workflows.

  4. Wählen Sie im WorkflowNeuer Mitarbeiter einstellen – Finanzen, den Sie zuvor erstellt haben.

  5. Wählen Sie "On-Demand ausführen" aus.

  6. Wählen Sie unter "Benutzer auswählen" die Option "Benutzer hinzufügen" aus.

  7. Wählen Sie unter "Benutzer hinzufügen" die Benutzer aus, für die Sie den On-Demand-Workflow ausführen möchten.

  8. Wählen Sie "Hinzufügen" aus.

  9. Bestätigen Sie Ihre Auswahl. Wählen Sie "Workflow ausführen" aus.

  10. Wählen Sie den Workflowverlauf aus, um den Aufgabenstatus zu überprüfen.

    Screenshot des Workflowverlaufs, Zusammenfassung der Benutzer mit Aufgabenstatus.

  11. Überprüfen Sie nach Abschluss aller Aufgaben, ob die Benutzer:innen Zugriff auf die Anwendungen haben, die Sie im Zugriffspaket ausgewählt haben. In diesem Schritt wird das Szenario für Neueinstellungen für Benutzer:innen abgeschlossen, damit diese ab dem ersten Tag Zugriff auf die erforderlichen Apps erhalten.

Überprüfen des Zugriffs für den Remotezugriff pro App

In diesem Abschnitt simulieren Sie ein neues Mitglied des Finanzteams, das der Organisation beitritt. Sie weisen dem Benutzerkonto mit Microsoft Entra-Privatzugriff automatisch Zugriff auf die Dateifreigabe des Finanzteams und Remotezugriff auf den Dateiserver zu.

In diesem Abschnitt werden die Optionen zum Überprüfen des Zugriffs auf zugewiesene Ressourcen beschrieben.

Überprüfen der Zugriffspaketzuweisung

Führen Sie die folgenden Schritte aus, um den Status der Zugriffspaketzuweisung zu überprüfen:

  1. Melden Sie sich als Benutzer:in bei myaccess.microsoft.com an.

  2. Wählen Sie Access-Pakete aus, aktiv , um das Zuvor angeforderte Zugriffspaket (z. B. Finance Access Package) anzuzeigen.

    Screenshot von Mein Zugang, Access-Pakete, Aktiv.

Überprüfen des App-Zugriffs

Führen Sie die folgenden Schritte aus, um den App-Zugriff zu überprüfen:

  1. Melden Sie sich als Benutzer:in bei myaccess.microsoft.com an.

  2. Suchen Sie in der Liste der Apps nach der zuvor von Ihnen erstellten App (z. B. "Finance App") und greifen Sie darauf zu.

    Screenshot von

Überprüfen der Gruppenmitgliedschaft

Führen Sie die folgenden Schritte aus, um die Gruppenmitgliedschaft zu überprüfen:

  1. Melden Sie sich als Benutzer:in bei myaccess.microsoft.com an.

  2. Wählen Sie "Gruppen" aus, in der ich bin. Überprüfen Sie die Mitgliedschaft in der Gruppe, die Sie zuvor erstellt haben (z. B. Finance Accounting).

    Screenshot von

Überprüfen der Teams-Mitgliedschaft

Führen Sie die folgenden Schritte aus, um die Teams-Mitgliedschaft zu überprüfen:

  1. Melden Sie sich als Benutzer bei Teams an.

  2. Überprüfen Sie die Mitgliedschaft im Zuvor erstellten Team (z. B. Finance Accounting).

    Screenshot von Teams mit Finanzbuchhaltung in Ihren Teams.

Überprüfen des Remotezugriffs

Führen Sie die folgenden Schritte aus, um den Benutzerzugriff auf den Dateiserver zu überprüfen:

  1. Melden Sie sich auf dem Gerät an, auf dem Sie den Global Secure Access Client installiert haben.

  2. Führen Sie \\\IP_address aus, und überprüfen Sie den Zugriff auf die Dateifreigabe.

    Screenshot des Windows-Explorers, der die Verbindung mit der Dateifreigabe anzeigt.

Bedarfsgesteuertes Ausführen des Workflows für Abgänge

  1. Melden Sie sich im Microsoft Entra Admin-Center als mindestens Administrator für Lebenszyklusworkflows an.

  2. Navigieren Sie zu ID Governance>Lebenszyklus-Workflows>Workflows.

  3. Wählen Sie in Workflows den Offboarding eines Mitarbeiters – Finanz aus, den Sie in den Austrittsschritten erstellt haben.

  4. Wählen Sie "On-Demand ausführen" aus.

  5. Wählen Sie unter "Benutzer auswählen" die Option "Benutzer hinzufügen" aus.

  6. Wählen Sie unter "Benutzer hinzufügen" die Benutzer aus, für die Sie den On-Demand-Workflow ausführen möchten.

  7. Wählen Sie "Hinzufügen" aus.

  8. Bestätigen Sie Ihre Auswahl, und wählen Sie "Workflow ausführen" aus.

  9. Wählen Sie den Workflowverlauf aus, um den Aufgabenstatus zu überprüfen.

    Screenshot des Offboards eines Mitarbeiters,

  10. Überprüfen Sie nach Abschluss aller Aufgaben, ob den Benutzer:innen der gesamte Zugriff auf die im Zugriffspaket ausgewählten Anwendungen entzogen wurde.

Überprüfung der Entfernung des Zugriffs

Bestätigen Sie nach dem Ausführen des Leaver-Workflows das Entfernen des Benutzerzugriffs auf Finanzanwendungen, das Finanzteam, SharePoint-Websites und Dateifreigaben, indem Sie die Schritte in den Abschnitten " App-Zugriff überprüfen " und " Remotezugriff überprüfen " wiederholen. Mit diesem Schritt stellen Sie sicher, dass die Benutzer:innen nicht mehr auf diese Ressourcen zugreifen können.

Zugehöriger Inhalt

  • Last updated on